Multi-Domain-Wildca...
 
Benachrichtigungen
Alles löschen

Multi-Domain-Wildcard-Request erstellen


(@blecheimer)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 10
Themenstarter  

Hallo zusammen,

ich betreibe einen Exchange 2019 Standard - Server on premise, mit zwei Akzeptierten Domains und habe für eine Domain ein Wildcard-Zertifikat hinterlegt. Es funktioniert (Dank des Autodiscover-Whitepapers von Frank.) alles sauber, auch Autodiscover.

Nun kommen aber noch drei Domains dazu, die zwar nicht alle als Akzeptierte Domänen hinterlegt werden, aber andere Dienste abbilden, die jeweils auch ein Wildcard-Zertifikat erfordern werden.

Deshalb möchte ich ein Multi-Domain-Zertifikat erwerben. Der präferierte Anbieter sicherte mir zu, dass bei dem dort erhältlichen Multi-Domain-SSL-Zertifikat Wildcard-Einträge möglich sind.

Meine Frage: Was muss ich bei der Erstellung des CSRs auf dem Exchange-Server beachten? Wenn ich eine Zertifikatsanforderung für ein Wildcard-Zertifikat erstelle, kann ich (Zumindest über das Admin-Center.) nur eine Domain, also z.B. *.domain1.de, eintragen. Wenn ich nicht falsch liege, muss ich aber *.domain1.de, *.domain2.de, *domain3.de, *.domain4.de und *.domain5.de eintragen, oder?

Sobald das neue Zertifikat für den Exchange-Server hinterlegt ist, möchte ich es, inkl. Private Key, aus dem Zertifikatspeicher des Exchange-Servers als *.pfx exportieren, um es dann auch bei den anderen Webanwendungen und in der Firewall (Für den Reverse Proxy.) verwenden zu können.

Vielen Dank für jeden Tipp. :)

Dieses Thema wurde geändert Vor 1 Monat 2 mal von Blecheimer

Zitat
Frank Zöchling
(@franky)
Admin
Beigetreten: Vor 12 Jahren
Beiträge: 506
 

Hi,

ich meine über das Exchange Admin Center lässt sich kein Multidomain Zertifikat erstellen. Mit der Shell dürfte es aber klappen (Parameter -DomainName):

https://docs.microsoft.com/de-de/powershell/module/exchange/new-exchangecertificate?view=exchange-ps

Beste Grüße,

Frank

Diese r Beitrag wurde geändert Vor 1 Monat von Frank Zöchling

AntwortZitat
(@blecheimer)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 10
Themenstarter  

Vielen Dank für den Tipp. Nein, über das EAC geht das definitiv nicht.

Das müsste ja dann ungefähr so aussehen:

New-ExchangeCertificate -GenerateRequest -RequestFile "C:\Cert Requests\meins.req" -FriendlyName "Mein Multi Domain Zertifikat" -SubjectName "c=DE,o=Meine Firma,ou=IT,l=meineStadt,st=Brandenburg,cn=*.domain1.de" -DomainName *.domain2.de,*.domain3.de,*.domain4.de,*.domain5.de

Oder gehört die "*.domain1.de" dann auch zu "-DomainName" und ich lasse den CommonName ("cn") weg?


AntwortZitat
Frank Zöchling
(@franky)
Admin
Beigetreten: Vor 12 Jahren
Beiträge: 506
 

Jap, sieht auf den ersten Blick ganz gut aus, pack aber *.domain1.de auch zu "-DomainName". Den CN musst du angeben, da solltest du die "Hauptdomain" verwenden. Du erstellst ja auch erst einmal nur den CSR, wie es dann bei der CA aussieht kannst du beispielweise hier prüfen:

https://ssl-trust.com/SSL-Zertifikate/csr-decoder

Du erstellst da gerade ein MultiDomain Wildcard Zertifikat, für Exchange ist dies nicht erforderlich und die Zertifikate sind recht teuer, ggf. solltest du einmal prüfen ob das wirklich erforderlich ist.

Gruß,

Frank


AntwortZitat
(@blecheimer)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 10
Themenstarter  

O.K., kommt die "Hauptdomain" dann auch als Wildcard in den cn oder mit "www"?

Dass der Exchange-Server das nicht benötigt ist klar. Momentan habe ich da ja schon zwei Akzeptierte Domains und nur ein Wildcard-Zertifikat für die Hauptdomain. Wie gesagt, funktioniert auch Autodiscover dank Deines Whitepapers sauber.

Das Multi-Domain-Wildcard-Zertifikat brauche ich aus verschiedenen Gründen. Ich habe nur eine WAN-IP, auf der Firewall habe ich einen Reverse-Proxy konfiguriert, bei dem ich "nur" ein Zertifikat hinterlegen kann. Dahinter laufen aber mehrere Webserver, die auf unterschiedliche Domainnamen hören. (Eigentlich sind es nur drei Domainnamen, da der Preis für das Multi-Domain-Wildcard-Zertifikat aber bis 5 Domains der gleiche ist, nehme ich noch zwei Domains dazu, die ich perspektivisch brauchen werde.)

Der Exchange-Server braucht auf dem Zertifikat ja mindestens zwei Subdomains (Autodiscover und "Mail") und die anderen beiden Domains (Von denen eine nichts mit dem Exchange-Server zu tun hat.) haben auch Subdomains.

Ich bin natürlich offen für eine preisgünstigere Variante, aber ich befürchte das Multi-Domain-Wildcard-Zertifikat ist alternativlos.


AntwortZitat
Frank Zöchling
(@franky)
Admin
Beigetreten: Vor 12 Jahren
Beiträge: 506
 

Ah verstehe. den CN kannst du ebenfalls als *.domain.tld angeben (und auch in der Liste der SANs).


AntwortZitat
(@blecheimer)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 10
Themenstarter  

Vielen Dank. Ja, das werde ich so machen.

Von dem Zertifikatherausgeber habe ich noch den Tipp bekommen, dass "OU", also "Abteilung" bald nicht mehr in den CSR aufgenommen werden sollte. Die Abteilung ist für mich nicht wichtig, ich hätte es sonst nur der Vollständigkeit halber mit aufgeführt.


AntwortZitat
(@blecheimer)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 10
Themenstarter  

Ich habe jetzt den CSR per Powershell erstellt, das Zertifikat beantragt und auch schon ausgestellt bekommen.

Ich habe die Zertifikatsanforderung jetzt allerdings über das EAC abgeschlossen, auf die Konnektoren gebunden und im IIS hinterlegt, soweit so gut.

Nun wollte ich das Zertifikat aus dem Zertifikatsspeicher des Exchange-Servers als PFX exportieren, kann aber den Privaten Schlüssel nicht exportieren. Für Kunden habe ich bei diesem Zertifikatsanbieter schon oft (Allerdings normale Wildcard-Zertifikate.) Exchange-Zertifikate bezogen und nie dieses Problem gehabt.

Kann das vielleicht daran liegen, dass ich die Zertifikatsanforderung per Powershell erstellt, aber über das EAC abgeschlossen habe?


AntwortZitat
NorbertFe
(@norbertfe)
Honorable Member
Beigetreten: Vor 1 Jahr
Beiträge: 552
 
Veröffentlicht von: @blecheimer

Kann das vielleicht daran liegen, dass ich die Zertifikatsanforderung per Powershell erstellt, aber über das EAC abgeschlossen habe?

Nö. Gehts denn per mmc? Hast du im request angegeben, dass der private key exportierbar sein soll?


AntwortZitat
(@blecheimer)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 10
Themenstarter  

Per MMC habe ich es probiert.

Beim Request per Powershell habe ich es nicht angegeben. Ist das erforderlich? Beim Request per EAC ist es nicht nötig, bzw. kann man es dort nicht auswählen.


AntwortZitat
NorbertFe
(@norbertfe)
Honorable Member
Beigetreten: Vor 1 Jahr
Beiträge: 552
 

Tjo. Wenn du den private Key nicht exportiert bekommst, hast du doch deinen Fehler. ;)


AntwortZitat
(@blecheimer)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 10
Themenstarter  

O.K., Du hast recht. :)

Also das ganze nochmal mit:

-PrivateKeyExportable

Der Zertifikatanbieter ist zum Glück sehr kulant.


AntwortZitat
NorbertFe
(@norbertfe)
Honorable Member
Beigetreten: Vor 1 Jahr
Beiträge: 552
 

Genau. Dann sollte dem nix im Wege stehen. :) zur Not gäbe es noch jailbreak, um das Zertifikat zu exportieren. ;) aber wenn’s mit deinem Weg geht, würde ich den auch nehmen.


AntwortZitat
(@joker)
Active Member
Beigetreten: Vor 2 Monaten
Beiträge: 8
 

Hallo

Also ich erstelle die Multidomain Wildcard Zertifikate immer via ECP. Ich generiere ein neues Zertifikat, wähle dann nicht "Stammdomäne" sondern füge bei den einzelnen DNS-Einträgen dann die ganzen Domänen hinzu. Der Request funktioniert dann problemlos bei unserem Zertifikatsanbieter (Comodo).

Gruss


AntwortZitat
(@blecheimer)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 10
Themenstarter  

Erstmal vielen Dank, mit dem korrekten CSR hat es jetzt auch funktioniert :)


AntwortZitat
(@blecheimer)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 10
Themenstarter  
Veröffentlicht von: @joker

Hallo

Also ich erstelle die Multidomain Wildcard Zertifikate immer via ECP. Ich generiere ein neues Zertifikat, wähle dann nicht "Stammdomäne" sondern füge bei den einzelnen DNS-Einträgen dann die ganzen Domänen hinzu. Der Request funktioniert dann problemlos bei unserem Zertifikatsanbieter (Comodo).

Gruss

Da hatte ich auch schon dran gedacht, war mir aber nicht sicher, ob das so funktioniert.

Funktioniert bei Deiner Vorgehensweise auch hinterher der Export des Privaten Schlüssels?


AntwortZitat
(@joker)
Active Member
Beigetreten: Vor 2 Monaten
Beiträge: 8
 
Veröffentlicht von: @blecheimer
Veröffentlicht von: @joker

Hallo

Also ich erstelle die Multidomain Wildcard Zertifikate immer via ECP. Ich generiere ein neues Zertifikat, wähle dann nicht "Stammdomäne" sondern füge bei den einzelnen DNS-Einträgen dann die ganzen Domänen hinzu. Der Request funktioniert dann problemlos bei unserem Zertifikatsanbieter (Comodo).

Gruss

Da hatte ich auch schon dran gedacht, war mir aber nicht sicher, ob das so funktioniert.

Funktioniert bei Deiner Vorgehensweise auch hinterher der Export des Privaten Schlüssels?

Hallo, ja das funktioniert problemlos. Kannst Du via MMC machen.


AntwortZitat
NorbertFe
(@norbertfe)
Honorable Member
Beigetreten: Vor 1 Jahr
Beiträge: 552
 

https://www.digicert.com/easy-csr/exchange2010.htm geht immer und im ausgegebenen PS kann man auch gleich noch -friendlyName mit einbauen, dann heißen die Zertifikate wenigstens sinnvoll. ;) Der Wizard in der EAC ist in meinen Augen unnötig umständlich.


AntwortZitat

Teilen: